В сервисах Сбербанка новая утечка персональных данных клиентов. В Сети найден архив с телефонами, адресами и номерами карт десятков миллионов пользователей, присоединившихся к бонусной программе «Сберспасибо». Пострадали как минимум 47,9 млн человек. В 2019 г. Сбербанк «слил» в Сеть еще более крупный архив с не менее важными данными клиентов – эта утечка затронула свыше 60 млн пользователей банка.
Информационная безопасность – пустой звук
«Дочка» Сбербанка допустила огромную утечку персональных данных своих клиентов – пострадали десятки миллионов участники бонусной программы банка «Сберспасибо». Как сообщил в своем Telegram-канале сервиса разведки утечек данных и мониторинга даркнета DLBI, попавшая в Сеть база данных содержит информацию почти о 50 млн пользователей этой системы, включая персональные данные, которые в дальнейшем могут использоваться для рассылки спама и мошеннических операций.
Архив с данными пользователей «Сберспасибо» имеет объем в пределах 14 ГБ и состоит из двух файлов. Первый «весит» 820 МБ и называется Orders, а второй занимает около 13 ГБ и носит название Users. Предположительно, весь этот массив данных был получен из фирменного приложения «Сберспасибо».
На момент публикации материала представители «Сберспасибо» и Сбербанка не подтверждали информацию об утечке. Впрочем, официального опровержения тоже не было, что повышает вероятность подлинности оказавшихся в свободном доступе сведений. «Мы проверяем информацию и ее достоверность, – сообщили CNews представители «Сберспасибо». – Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных».
Содержимое архива
По словам экспертов DLBI, основной массив данных в архиве – это номера телефонов пользователей – их в нем 47,9 млн, и все уникальные, без повтора. Адресов электронной почты в разы меньше, но тоже в избытке – 3,3 млн уникальных адресов. В итоге по первым мошенники могут звонить, к примеру, от имени службы безопасности самого Сбербанка и предложить перевести деньги на «супернадежный» счет для защиты от мошенников, а на вторые рассылать фишинговые письма с целью украсть банковские данные пользователей.
Последнее, впрочем, может и не потребоваться, поскольку в архиве оказались хешированные номера банковских карт клиентов «Сберспасибо», притом как основной карты, с которой они совершают платежные операции чаще всего, так и всех дополнительных. Все они зашифрованы по древнему и в современном мире, как оказалось, полностью бесполезному алгоритму SHA1. «Не смотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем "восстановить" их реальные значения прямым перебором всех цифр», – утверждают эксперты DLBI.
Перечисленная информация дополнена датами рождения клиентов сервиса. При должной сноровке мошенники наверняка найдут способ использования и этих сведений в своих корыстных целях, равно как и дата создания и обновления записи пользователей в программе «Сберспасибо» за период с 22 июля 2015 г. по 07 июня 2022 г. Эти данные тоже оказались в архиве.
Хакеры на опыте
По информации сервиса DLBI, за утечку данных клиентов «Сберспасибо», ответственны те же киберпреступники, что ранее «слили» в Сеть информацию информацию онлайн-платформы правовой помощи «Сберправо», «Сберлогистики», образовательного портала GeekBrains и ряда других сервисов. Эксперты сервиса считают, что в ближайшем будущем представители в Рунете появится утверждение представителей «Сберспасибо» о неактуальности представленной в утекшем архиве информации.
За последний месяц это как минимум второй случай «серийной утечки» данных, когда один хакер или группа хакеров выгружает в Сеть информацию нескольких сервисов и компаний. 9 марта 2023 г. CNews освещал случай взлома компании Acronis, занимающейся информационной безопасностью – архив с ее корпоративной информацией попал в интернет через пару дней после утечки в Acer, крупном производителе компьютерной техники.
Оба «слива» – результат действий одного человека или одной группы лиц. Acer сразу признала утечку, а вот Acronis сперва опровергла факт утечки, но потом выпустила «опровержение на опровержение»: как пишет The Register, она призналась в случившемся, но заявила, что в результате инцидента пострадал всего лишь один ее клиент.
Почти рекорд
Если утечку в «Сберспасибо» подтвердят представители сервиса или непосредственно Сбербанка, то, несмотря на гигантское количество пострадавших в результате этого «слива», рекордным он не будет. В конце 2019 г. в Сети по недосмотру службы безопасности «Сбера» оказалась база данных с информацией о более чем 60 млн клиентах банка. – общедоступными стали их ФИО, паспортные данные и ряд других сведений, включая информацию по кредитам. Подлинность записей была подтверждена, а утечку допустил один из теперь уже бывших работников банка, решивший подзаработать на продаже базы данных в даркнете. На тот момент это была крупнейшая утечка в истории российского банковского сектора, и новую высоту хакеры и инсайдеры пока не взяли.
Источник: cnews.ru
Герман Греф: Сбербанку позарез не хватает опытных ИТ-шников. Миддлы и сеньоры уехали из России и не хотят возвращаться
Герман Греф пожаловался, что Сбербанку не хватает ИТ-кадров. Основная причина – их релокация на фоне событий 2022 г. Банку нужны именно опытные работники – миддлы и сеньоры, тогда как в Россию из других стран возвращаются, по большей части, только джуниоры.
Где взять ИТ-шников
Сбербанк, крупнейший банк России, столкнулся с серьезной нехваткой ИТ-специалистов, особенно опытных, о чем заявил лично Герман Греф, председатель правления Сбербанка. По его словам, дефицит связан со стремительной релокацией ИТ-шников, многие из которых, особенно квалифицированные кадры, не очень рвутся обратно в Россию.
«Есть проблема того, что мы какое-то время будем восстанавливать нашу квалификационную составляющую, потому что отток был так называемых мидлов или сеньоров, то есть людей, которые имеют более высокую квалификацию. Такого уровня специалистов не так много на рынке. На сегодня остро эту проблему ощущаем», – сказал Герман Греф.
Председатель правления Сбербанка отдельно отметил, что после отъезда за пределы России наиболее опытные отечественные эксперты в области информационных технологий оседают в других странах. Возвращаются преимущественно джуниоры – ИТ-шники начального уровня, с минимальным багажом знаний и умений.
Среди «возвращенцев» преобладают, по словам Грефа, Java-разработчики. Этот язык программирования, как сообщал CNews, очень любим россиянами. Наряду с ними в родные края из-за рубежа релоцируются специалисты в data-science и разработчики мобильных приложений.
Почему ИТ-кадры бегут из России
Массовый отток ИТ-работников из России пришелся на 2022 г. и стал частью двух волн общей эмиграции россиян. Первая прошла в марте и апреле 2022 г. на фоне начавшихся на Украине событий – тогда из России, по разным оценкам, уехало около 70 тыс. ИТ-шников. Вторая, сентябрьская волна массового отбытия россиян за границу связана с нежеланием мужского населения страны в добровольно-принудительном порядке участвовать в украинских событиях. Скольких людей после нее недосчиталась российская ИТ-отрасль, не установлено.
Перспективы не самые радужные
Многие отбывшие из России продолжили работать удаленно – в теории, их можно отнести к тем, кто остался в стране. Но власти на протяжении всего 2022 г. пытались заманить их обратно физически, притом сначала пряником, а потом кнутом. Пряник – это в данном случае многочисленные послабления, включая отсрочку от армии и льготную ипотеку.
Кнут власти начали готовить в феврале 2023 г. Как сообщал CNews, некоторым уехавшим ИТ-шникам на уровне закона запретят работать из-за границы, тем самым поставив их перед выбором – уволиться и разорвать рабочие связи с Россией или не терять место работы и вернуться в страну.
Давняя проблема
Как пишет VC.ru, как минимум одна неназванная компания из экосистемы Сбербанка не желает видеть в своем штате отбывших из России ИТ-шников. Она еще в марте 2022 г. предложила им или вернуться, или уволиться.
При этом на ощутимую нехватку ИТ-кадров, в особенности «безопасников», Сбербанк сетовал еще в декабре 2021 г., за несколько месяцев до всем известных событий. О возникшей кадровой проблеме в ИБ-сегменте заявил зампред правления Сбербанка Станислав Кузнецов – он полагал, что это явление связано с недостаточным количеством преподавателей в вузах, способных обучать ИБ-специалистов.
«Чемоданное» настроение было присуще большинству российских ИТ-шников еще раньше – в ноябре 2021 г. CNews писал о готовности 60% из них отбыть за рубеж при первой же возможности. Не исключено, что события 2022 г. послужили катализатором для них. К слову, президент ИБ-компании InfoWatch Наталья Касперская предсказывала скорый массовый отток ИТ-кадров за рубеж еще летом 2020 г. На тот момент основной причиной была плохая экономическая обстановка в России, вызванная пандемией коронавируса.
Минцифры заявляло о нехватке в России около 1 млн ИТ-шников в еще феврале 2021 г. С учетом всего сказанного выше можно предположить, что по прошествии двух лет это количество как минимум не уменьшилось. И хотя в октябре 2022 г. президент ассоциации «Руссофт» Валентин Макаров говорил о возвращении в страну около трети релоцировавшихся работников сферы ИТ, это едва ли сильно повлияло на общий их дефицит.
Источник: cnews.ru
Комментарии
Ни одна серьезная контора не оставит у себя в штате ни одного боле-менее ключевого сотрудника с удаленным доступом к внутренним серверам, тем более в недружественной стране.
гм, вы не поверите...
только сегодня была новость , что Яндекс официально перевел всех сотрудников на гибрид и разрешил работать из Турции, Армении, Сербии и т.д.
так удаленный доступ прижился еще с ковидлы, но в сбере его кому попало не давали, а из-за границы вообще запрещали...
Мягко говоря вы и близко не знаете о чем говорите
Греф тот ещё сказочник - в реальности из разговоров с теми кто уволился из Сбера - дерьмовые условия труда. А так как рынок труда требует огромное количество специалистов (то самое заявление министра об этом) - народ уходит в нормальные места.
Ну и это - про огромное число уехавших - отчеты госведомств Грузии, Казахстана, Турции и прочих о динамике миграционных потоков уверяют нас что 90+% выехавших весной и осенью уже вернулись в Россию.
У вас какое-то расплывчатое понимание ИТ, шиваадминство развито только в мелких канторах. Крупные как правило могут позволить себе разделение труда и избыточное количество сотрудников. Одни поддерживают и управляют системой, другие пишут код в тестовой среде, третьи тестируют его, четвертые переносят код в продакшн. Над ними всякие системы безопасности и слежения, и не одна, можно все так закрутить и заадминистрировать, что работать станет просто невозможно. Так что особой проблемы в удаленном сотруднике нет, нарезай задачи, контролируй выполнение и уровень доступа.
А у нас тут один дворник на пять домов.
Надо срочно перевести его на удаленный режим работы из Таджикистана.
Это сказал человек, которому когда-то сильно мешали мат. классы и школы с математическим уклоном? Пусть арендует их заграницей.
А что общего у банковских айтишников и школ с математическим уклоном? Раньше бы сказал что портвейн, а сейчас даже не знаю, так всё быстро меняется.
Не встречал за последние лет 25 ни одного действительно хорошего программиста без нормального математического образования.
Это вы с финтехом не сталкивались, о котором Греф горюет.
средний уровень математического, да и вообще технического образования стремительно деградирует.
и это началось не 30 лет назад а много раньше. Зажрались
Я тут много раз плакался о преподе на моей кафедре, который таскал свои студенческие проекты нам на занятия. Разница между концом 50-х и концом 80-х была катастрофическая. С тех пор лучше не стало. Кто виноват и что делать я не знаю. Ну есть так-то соображения, но сильно неполиткорректные.
Есть такой момент. На кафедре вышки и термеха в начале 90-х в основном были интеллигентные люди с широчайшим кругозором, преподававшие свой предмет на высоком уровне. Сейчас на этой кафедре мои сокурсники (очень уныло) и немного почти нулевой молодежи.
Да нормально в Сбере с программерами. Как Интел ушел Сбер готовыми командами покупал интеловских и сразу задачи ставил на несколько лет вперед.
Это следствие, а не причина. Есть такие, причем пишут лучше "патентованных" из-за незашоренности мышления. Программирование требует особого склада ума. Не всем дано.
Типа хирург-самоучка будет лучше выполнять операции, чем хирург с 6 годами образования и интернатурой? А вы смешной...
Тыкание в готовое и жуткая работоспособность высирающая гигабайты кода - это я вам скажу по секрету, совсем не талант. Что мы и видим на данный момент.
Так у них же была тогда фишка - продадим ресурсы, а на выручку купим все, чего надо.
Продано: ум, честь и совесть. Покупок не наблюдаю.
"Жёлтые штаны и малиновые пиджаки"
Два года назад Греф заявил что программисты больше не нужны и их век закончился.
////
Чистая прибыль Сбера за 2022 год составила 270,5 млрд руб. в соответствии с международными стандартами финансовой отчетности (МСФО)
Герман Греф, Президент, Председатель Правления Сбербанка:
«2022 год стал сложнейшим годом для нашей страны и банковского сектора. В отношении российской экономики и крупнейших компаний, в том числе Сбера, рядом государств были введены блокирующие санкции.
=================
Нет денег на защиту данных!?
Пусть заплатит штраф за утечку! Я не против 200 млрд рублей штрафа!
Вот-вот.
Тут где-то кстати обитает на АШ человек, горой стоящий за СберIT, интересно, что он сейчас скажет
Кто этот человек? Прям интересно стало
Iceman, емнип
У него в подписи было, что он начальник отдела ИТ в отделении Сбера. Связан ли он с безопасностью ИТ - неизвестно.
PS. Ниже написали )
А этот убогий
Мне еще более интересно, как IT-шнику.
Кто в здравом уме из профессионалов будет хвалить это ... шапито?
Вспомнил его ник: mr.Iceman
Не припоминаю, чтобы он "горой стоял".
Кстати, давно его не вижу.
А ругать за что? Ну давайте попробую "позащищать".
Ребята, Вы НеПоИБ, не надо верить всему что написано на заборах.
Во-первых, подтверждающие скриншоты от DLBI (Ашот Оганесян) как под копирку. Получает он их из личного Excel. Те кто не знает, это самый известный SEO-спец в РФ. НеПоИБ.
Во-вторых, вал сообщений об утечках в РФ начался ровно с того момента как за решёткой оказался основатель Group-IB (Илья Константинович Сачков) - фигурант уголовного дела о госизмене. Вот он как раз известный ПоИБ. Совпало, ничего не утверждаю.
В-третьих, это же просто зачитаешься: «Дочка» Сбербанка допустила [..] сообщил Telegram-канал сервис мониторинга даркнета DLBI [..] Предположительно массив данных был получен из фирменного приложения «Сберспасибо». [..] По словам экспертов DLBI [..] записи пользователей в программе «Сберспасибо» за период с 22 июля 2015 г. по 07 июня 2022 г.
Помимо того что никто никого прямо не называет, (совсем в духе британских учёных), где-то были потеряны 5 лет с момента запуска Сберспасиб и почти год ксакепы ждали перед запуском продаж "в даркнете". Информации хотя бы о нике выложившего, времени выкладывания и т.д. - нет. Охрененный свервис "мониторинга". В лучшем случае он заключается в чтении пары общеизвестных форумов непосредственно Ашотом. А, так "дочка" же допустила! Дочка Сбера выложила "в даркнет" свою БД под своим "дочкиным" аккаунтом, что здесь неясного, да?
В-четвёртых, вот это:
«Не смотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем "восстановить" их реальные значения прямым перебором всех цифр», – утверждают эксперты DLBI (Ашот Оганесян во мн.числе).
Это ку-ку, my darling. Действительно SHA1 - уязвимая функция, поэтому она была исключена из OpenSSH. Для того чтобы "восстановить" реальное значение для 1 (одной) банковской карты надо выполнить 257 операций, что принципиально возможно и стоило на 2018 год всего каких-то $173 000. Если Вы точно знаете что разгадка этого хэша отобьёт аренду - овчинка стоит выделки. В конце-концов, всем известно что и Гейтс и Безос пользуются СберСпасибо, да?
На выходе: какие-то неназванные клоуны в тельняшках от имени "мониторинга даркнета" (хотя все знают что это
ВоландемортАшот) выложили скриншот таблицы из Excel (неотличимый от выкладывавшихся ими же ранее), подписали его "катастрофа" и опубликовали в принадлежащих ровно им же и аффилированным с ними же СМИ типа CNews и канал в Telegram. Пишите ещё.И эти люди отказываются ходить в булочную строем и поклоняются Chat GPT.
Спасибо. Исчерпывающе.
От номера карты какой прок? Их тут, вон, почти под каждой статьёй бери - не хочу. Разве что, денех на него закинуть?
Я только двоих припоминаю, кто номера карт по статьями пишет. Есть больше?
Вы не сообразили. Речь идет про то, что возьмут номера карт от 0 до 9999999999999999 и для них всех посчитают sha-1 за несколько часов. После чего для всей базы будут получены номера карт. В обратную сторону никто конечно реверсить хэши не будет. Т.е. сказано все верно в статье, проблемы восстановить номера по хэшам нет. Если хэши не "соленые", то вообще можно использовать готовые "радужные" таблицы.
Вы где-то ошиблись в расчетах.
За секунду можно посчитать миллиард (10^9) хешей. Всего 16-значных номеров карт 10^16
времени уйдет на расчет хешей всех возможных карт 10^16/10^9=10^7 секунд. Это 10 миллионов секунд.
Это 115 дней, а не несколько часов.
А вы то сам нигде не ошиблись? Первые шесть цифр в номере карты - банковский идентификатор. 10 секунд?
В посте было написано - посчитать хеши для всех чисел от 0 до 9999 9999 9999 9999 - нет, я не ошибся.
И все же, эти числа - номера банковских карт, об этом написано в статье.
Правильно. Вы знаете все BIN Сбера?
Я знаю. Все 150 штук, т.к. это публичная информация.
Из 150 бинов для обычных карт наберется от силы 20-30, остальные это всякие gold, business, electron и прочее.
Далее, из 16значного номера кроме первых 6 цифр еще еще нужно убрать последнюю цифру - это проверочная цифра. Всего 9 значимых цифр.
И получим полный набор для перебора - 20 млрд карт. или 1 млрд для 1 бина. Радужную таблицу на 1 млрд даже на ЦПУ домашнего PC можно сделать за 5-10 минут.
Конечно номер карты сам по себе ничего не значит, но такое кол-во персональных данных и номер для соц.инжириринга мошенников будет просто золотым дном.
Выводы о реальности утечки каждый пусть делает сам, тем более что дамп базы уже в открытом доступе есть.
Вас не затруднит дать ссылку на ресурс где опубликовано 150 шт. BIN от Сбера?
Обычных - это каких? Зачем их выбирать? Думал Вы будете платёжную систему выбирать сначала, но нет..
Эта информация гуглится за 10 секунд! Совсем уже обленились, эксперты блин.
Не суть важно. В том посте на который я отвечал, шла речь про то что и один хэш якобы не отреверсить за разумное время, а тут одна gpu всю базу сможет сделать за 4 меяца. Наверняка есть и более быстрые асики для этого, ну и опять же rainbow-таблицы тоже не зря существуют. Номера тоже не все нужно перебирать, вопервых там есть объем под контрольную сумму, неправильные номера - можно и не смотреть. У самого сбербанка наверняка также есть какой-то конкретный диапазон номеров карт, существенно меньший всего домена 16 разрядных чисел и т.д. и т.п.
>PIN: 3198
Вы зря мистеру айсману пинкод выдали. Шарахнуть кастетом по башке и снять карту с тела стоит отнюдь не $173000
Нашёл кто это, страшный человек. Но всё-таки настаиваю на брутфорсе, времени до перевыпуска должно хватить.
В номере карты зашито
Вид карты
Код банка
Код продукта
Самих независимых цифр 11
Подбор гораздо проще если известно, что это карты Сбера.
не пробьёте
большинство здесь с жадностью хватаются за любую плохую новость, не разбирая фейк это или не фейк
Меня тоже удивляет, прибыль есть а денег на то чтобы нанять специалистов нет. И этот подход у многих крупных бизнесов в России, Жалуются нет специалистов, так вы платите блин, вот когда будут висеть вакансии с зарпалатой от 100K евро, вот тогда я поверю что кадров нет.
Страницы